言下之意,現代企業採用雲端技術的心態與手段仍遠遠不夠成熟,回顧許多發生於 2021 年的大型資安事件,其實都可以透過預防措施來避免。
隨著企業上雲日益普及,越來越多企業意識到雲端資安的重要性,在美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)網站上,便羅列出針對小型企業的雲端安全建議,其中美國聯邦貿易委員會(FTC)便提出以下 6 項實用資安防護建議。
1. 善用雲端服務公司提供的安全性功能
雲端託管服務都會提供資安設定指引,善用這些指導原則,我們可以根據公司的實際營運狀況、管理需求,來進行最合適的安全性調整。
與此同時,別忘了考慮使用者授權問題,除非是技術部門員工,或者出於其他必要理由,否則大多數員工都不該取得企業雲端資源的存取權限。
密碼設置方面,請務必開啟多重要素驗證功能(MFA),才能避免未授權登入的風險;而在所有雲端應用程序或來源碼中,千萬別使用預設或寫死(hard coded)的密碼,儘管表面上能省下幾秒鐘的登入麻煩,事實上是在大大增加企業雲端的被駭風險。
2. 定期察看儲存在雲端的資料
某些企業的雲端儲存空間,簡直就像多年沒大掃除、堆滿雜物和灰塵的閣樓。請記得無論選擇將資料存上雲端、存在內部網路,或者集中資料夾管理,倘若管理者不清楚資料儲存路徑,就很難掌控這些資訊的安全性。
因此,FTC 建議所有數據管理者定期清查、盤點資料儲存狀況,主動檢查並測試是否有安全設定錯誤、可能導致資料外洩的問題,也要維護詳盡的系統日誌檔(log files),方便管理者持續監控企業雲端儲存空間。
3. 避免儲存多餘的資訊
當數據管理者盤點出雲端空間究竟都存了哪些東西後,對非必要儲存的資料進行「斷捨離」十分重要;如果有某些資料屬於留著心安、卻其實沒什麼必要理由留存下來,那就大膽捨棄吧──畢竟不曾存起來的資料,就不可能會有外洩的風險。
4. 考慮對不常使用的資料進行加密處理
當然,總會有些資訊是不需要經常存取,卻依舊想要保留下來的,比如說重要的資料備份。針對這種可能牽涉到敏感資訊的情況,FTC 建議藉由靜態加密(encryption at rest)的方式,來避免未授權存取與資料外洩,無論是存在公有雲或其他位址皆然。
5. 留意可靠的安全性警示
有些雲端服務平台會提供一系列自動化工具,定期提醒有哪些雲端儲存空間在網路上是公開的、部分工具還會向顧客提出相對應的警示。
另外,也有些資安研究者會辨識出資料外洩漏洞,接著聯絡握有資料存取權的企業。如果接收到了這類資安風險警告,別忘了回頭檢查自家的雲端儲存情況是否仍安全無虞。
6. 資安防護是企業的內部責任
採用雲端代管服務,並不代表連資安管理也能完全外包出去;所有數據存取權都是企業的數位資產,確保其安全性自然也是公司內部、而非雲端平台的責任。
善用雲端服務商提供的資安工具之外,企業必須確保內部擁有一份白紙黑字訂定的資安管理流程,相關員工也必須接受指導培訓,了解如何維護、監控、測試,並時時更新這份流程。
